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ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren und Vorrichtonp mr Oberwach.ma ^. n es verfe.lten Sy ct^^^- 
Stand der Technik 

Die Erfindung geht aus von elnem Verfahren und einer Vorrichtung zur Oberwachung 
eines verteilten Systems, welches aus mehreren Teilnehmem besteht, die mittels eines 
Bussystems verbunden sind sowie einem entsprechenden Bussystem und einem 
entsprechenden verteilten System gemSC den Oberbegriffen der unabhangigen 
AnsprOche. 



Der heutige Ansatz einer Vielzahl elektronischer Steuereinheiten in alien technischen 
Bereichen, wie z. B. in industriellen Anwendungen. z. B. im Werkzeugmaschinenbereich 
Oder auch der Automatisierung sowie im Fahrzeugbereich und die Vemetzung dieser 
Steuereinheiten wirft insbesondere bei sicherheitsrelevanten Anwendungen wie 
beispielsweise Bremsfunktionen beim Kraftfahrzeug, z. B. ABS oder ESP, 
Lenkfunktionen oder auch Getriebeschaltfimktionen sowie Motoreteuerun^fonktionen 
das Problem des sicheren Betriebs eines solchen verteilten Systems auf. 

Dabei werden heute gerade im Kraftfahrzeugbereich gemischt mechanisch-elektronische 
Systeme venvendet. Heutige mechatronische Systeme Uberwachen die Funktion des 
Systems selbsttatig, indem z. B. Redundanz eingebaut wird. tJbliche Systeme beinhalten 
dabei je Steuereinheit bzw. Teilsystem zwei Prozessoren, welche die Funktionen 
berechnen und dann die Ergebnisse vergleichen. Liegt eine Differenz der Ergebnisse vor 
so muss ein Fehler eingetreten sein und es kSnnen sicherheitsielevante MaBnahmen 
eingeleitet werden. Dabei ist der zweite Prozessor hSufig leistungsschwacher ausgelegt 
In einem solchen Fall rechnet dieser zweite Prozessor nur ausgewShlte Teilbereiche nach 
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und vergleicht diese mit dem eig^ntlichen Funktionsrechner. wie dies beispielsweise in 
der DE 195 00 188 Al gezeigt ist. 

Wagen auf ein verteiltes System bedeutet das, dass jedes Steuergei^t des Teilsystems 
m sich so aufgebaut ist, dass es einen Fehler selbsttatig erkennen kann und dann 
FehlerbehandlungsmaBnahmen einleitet. jedes Teilsystem also selbst redundant zur 
Ennittlung der Ergebnisse aufgebaut ist. Zur Er^ugung dieser Redundanz in den 
selbstUberwachenden Steue«inheiten mUssen diese sehr aufw^ndig aufgebaut sein und es 
mussen Komponenten integriert sein, die fiir die eigentliche Funktion der Steuer^inheit 
nicht zwingend notwendig waren. 

Aufgabe der Erfindung ist es nun, diesen Oberwachungsaufwand fiir jedes einzelne 
Teilsystem zu reduzieren. 

Vorteile der Erfindung 

Getest wird diese Aufgabe durch die Verlagening wesentlicher 
Cberwachungsfunktionalitat auf das Bussystem selbst. So wird eine tJberwachung von 
vertedten Systemen tlber das Bussystem hinweg enn6glicht. wodurch vorteilhafter Weise 
d,e Teilsysteme bzw. Steue..inhelten oder Teilnehmer auf ihre eigene Funktion bezogen 
aufgebaut werden kSmien und zus^tzlicher Oberwachungsaufwand in diesem 
Teihiehmeraufbau weitgehend vennieden werden kann. 

Dazu geht die Erfindung von einem Verfahren und einer Vorrichtung zur Oberwachung 
ernes verteilten Systems aus, welches aus mehrer«n Teilnehmem besteht, die mittels eines 
Bussystems verbunden sind. ZweckmSBiger Weise wiM dami wenigstens eine Anzahl der 
Teihiehmer als aberwachende Teilnehmer vorgesehen und Wssdaten wenigstens eines 
uberwachten Teilnehmers werden in Datenbereichen von Speichereinheiten des 
Bussystems abgelegt, auf welche die Qberwachenden Teilnehmer Zugriffhaben. wobei 
diese Prozessdaten durch die Uberwachenden Teibiehmer ausgewertet werden. 

So muss vorteilhafter Weise in einem System mit yerteilter Intelligenz nicht jedes 
Teil^stem in sich alle i^Ievanten Fehler selbst entdecken und nStige GegemnaBnahmen 
emlerten. da dies erh6hte Kosten aufwerfen wiirde und die vorhandenen Moglichkeiten 
des Bussystems nicht genutzt wflrden. So kann erfindungsgemMB auf Telle der 
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Oberwachungsvomchtungen verzichtet werden, indem Teile der t)bervvachung durch 
andere Teilnehmer mitubemorrunen werden. insbesondere durch den jedem Teilnehmer 
mdmduell zugeordneten Abschnitt des Bussystems. die Busankoppeleinheit. 

ZweckmaBiger Weise wird dazu jeder der Datenbereiche eindeutig einem Oberwachten 
Teilnehmer zugeordnet 

Dabei ist es vorteilhaft, wenn der uberwachte Teilnehmer selbst auf den ilmi 
zugeordneten Datenbereich keinen Zugriff hat. Dnbei kSnnen zum Einen die 
Datenbereiche uber die wenigstens zwei Speichereinheiten verteilt sein. so dass 
sozusagen virtuelle Datenbereiche entstehen und/oder wenigstens ein Teil der 
Datenbereiche ist gleichzeitig in jeder Speichereinheit vorsehbar, abhSngig vom 
ZugrifFspotential der einzehien Teilnelmier. 

Zur Oberwachung selbst, eoeugtjeder aberwachende Teilnehmer vorteilhafter Weise 
abhangig von der AuswertungderProzessdaten des uberwachten Teilnehmers 
Ergebnisdaten. Diese Ergebnisdaten zur Oberwachung werden von alien Oberwachenden 
Teilnehmem mit Ausnahme des wenigstens einen Qberwachten Teilnehmers selbst 
erzeugt und ergeben sich aus der Auswertung der Pn,zessdaten. insbesondere indem die 
eigenermittelten Daten zu den Prozessen mit denen des zu Qberwachenden Teitaehmers 
verghchen werden. ZweckmSBiger Weise winl in diesen Ergebnisdaten dann eine 
Fehlennformation und/oder eine MaBnahmeninfonnation enthalten sein. Damit kamx dem 
zu Qberwachenden Teih>ehmer zum Einen aus individueller Sicht jedes iiberwachenden 
Teilnehmers mitgeteilt werden, ob ein Fehler vorliegt und welche iVdaBnahmen aufgrund 
ernes vorliegenden Fehlers der jeweils aberwachende Teilnehmer einleiten wtlrde. 

Dies erfolgt vorteilhafter Weise dadurch. dass die Ergebnisdaten Ober das Bussyst«m zu 
emem KommunikationscontroUer des Bussystems ubertragen werden. der dem 
Ubenvachten Teihiehmer zugeordnet ist. Die Auswertung der Ergebnisdaten kam, so zum 
Emen durch den KommunikationscontroUer des Oberwachten Teihiehmers selbst 
ausgeftlhrt werden. Werden die Ergebnisdaten in einer vorteilhaften Ausftlhrungsfonn in 
den Datenbereichen. insbesondere der Busankoppeleinheit abgelegt. kann eine 
Auswertung auch durch andere Teitoehmer oder andere KommunikationscontroUer auBer 
dem des flberwachten TeUnehmers erfolgen. 
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Durch d.e erfindungsgemSBen Vei^ren. Vorrichtung. Bussystem und Verteiltes System 
konnen im Gesamtsystem weniger kostentrSchtige MaBnahmen zur Obenvachung 
cnzelner Baugruppen oder Teilsysteme des Gesamtsystems eingesetzt werden. so dass " 
.nsbesondere die Anzahl von Hardwarekomponenten in den Teilsystemen und damit die 
Kosten fur d.ese verringert werden kOnnen. Weiterhin kann ohne groBen Mehraufwand 
erne Bewertung durch Voting der Oberwachungsinfonnationen. insbesonder^ einer i^^- 
aus N-Auswahl bezuglich der Ergebnisdaten erfolgen. wobei N und M natUrliche Zahlen 
sind und M grSBer 2 sowie N grSBer M/2 ist. 

VVeitere Vorteile und vortellhafte Ausgestaltu^igeu ergeben sich aus der Besclueibun. 
sowie den Merkmalen der Anspriiche. " 

Zeichnung 

Nachfolgend wird die Eriindung anhand der in der Zeichnung dargestellten Figuren nSher 
ermutert. 

Dabei zeigt 

Figur 1 ein verteiltes System mit mehreren Teilnehmem. wobei ein Teilnehmer aus einem 
entsprechenden Teilsystem und einer Busankoppeleinheit besteht 

Figur 2 zeigt einen solchen Teihiehmer und seine Anbindung an die 
Kommunikationsverbindung in detaiUierterer Darstellung. 

Figur 3 zeigt die Busankoppeleinheit mit eifindungsgemSBen Datenbereichen. 

m Figur 4 ist nochmals ein Teilnehmer detailUert dargesl«llt. diesmal bezOglich eines 
redundant ausgelegten Bussystems. 



Beschreibung der AusfUhrungsbeispiele 

Figur I zeigt ein verteiltes System lOOmitvierTeilnehmem 101 bis 104 Jeder 
Teitoehmer besteht dabei aus einem entsprechenden Teilsystem 1 bis 4 sowie einer 
Busankoppeleinheit 106 bis 109. Diese Teitoehmer 101 bis 104 sind flber eine 



« 
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Konununikationsverbindung 105 miteinander verbunden. ErfindungsgemSB ubernehmen 
nun in diesem verteilten System die Qberwachenden Teilnehmer. insbesondere deren 
Busankoppelelnheiten. auch Teile der Obenvachung des wenigstens einen Obcnvnchten 
Tednehmers, hier beispielsweise Teilnehmer 1 01 Qberwacht durch die Teilnehmer 1 02 
bis 104. Gleichzeitig wird beispielsweise Teilnehmer 102 durch die Teilnehmer 101 103 
und 104 tiberwacht usw., so dassjeder teilnehmer respektivejedes Teilsystem durch 
wemgstens zwei weitere Teilnehmer des verteilten Systems Obervvacht wird. 

Wird jeder Teihiehmer durch wenigstens drei weitere Teilnehmer des verteilten Systems 
uberwacht, so ist auch eine Votingfunktion, also eine Auswalilfunktion bezuglich der 
Beurteilung der uberwachenden Teilnehmer bezogen auf den flberwachten Teitaehmer 
moghch. Dazu k6nnen die uberwachenden Teilnehmer ihre Einschatzung also das 
Ergebnis der Uberwachung uber den Funktionszustand des wenigstens einen Qbcr^vachtcn 
Teitaehmers uber die Kommunikationsverbindung an beispielsweise den 
Kommmiikationscontroller des iiberwachten Teilnehmers Obermitteln. Diese 
Ergebnisdaten werden dahn vom Kommuaikationscontroller ausgewertet. woraufhin 
dieser dami gegebenenfalls entsprechende MaBnahmen ergreift. Bei dieser Auswertung 
kami dam, ein Voting dergestalt erfolgen. dass beispielsweise bei drei iiberwachenden 
Teihiehmem eine 2- aus S-Bewertung zum Einen zur Fehlererkemmng mid auch zur 
MaBnahmeneinleitung erfolgen kann. Dabei kam, jener Teilnehmer von alien anderen 
dem verteilten System zugeh«rigen Teitaehmem uberwacht werden oder nur von einem 
Te.1 der Teitoehmer, wobei diese Teilnehmer dann als uberwachende Teihiehmer 
vorgesehen sind. 

Zm- Erhohung der Sicherheit. insbesondere bei einem fehlerhaften Teilsyst«m, kam. das 
Teilsystem selbst, insbesondere die Recheneinheit des Teilsystems. nicht auf die 
Uberwachungsergebnisse, also die Ergebnisdaten der anderen Teibehmer zugreifen. so 
dass die tJberwachung unabhangig im und fiber das Bussystem geschieht. 

Das verteilte System gemSB Figur 1 ist somit so konzipiert, dass Teile der 
Fmiktionsaberwachung auch auBerhalb der Teilsysteme, sprich in den anderen 
Teilnehmem bzw. in der Busankoppeleinheit abgearbeitet werden komien. Ausgehend 
von emer Oberwachung des Teilsystems 1 legt das Teilsystem 1 die Prozessdaten auf 
dem Datenbus im Bussystem ab. Dabei werden die Prozessdaten in Datenbereiche von 
Speichereinheiten des Bussystems in der Busankoppeleinheit wie in den nachfolgenden 
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Zeichnungen noch erlSutert wird, abgelegt. Die Teilnehmer 101 bis 104 respektive die 
Teilsysteme 2 bis 4 k6nnen auf diese Prozessdaten in den Datenbereichen von 
Speichereinheiten des Bussystems. zugreifen und diese auswerten, so dass aus diesen 
Informationen die tJberwachung gerechnet werden kann. Jedes Teilsystem legt seine 
Einschatzung in Form von Ergebnisdaten uber den Zustand des TeUsystems 1. also des 
uberwachten Teilsystems vncder auf dem Datenbus. also dem Bussystem in speziellen 
Bere,che„ ab. Diese Ergebnisdatenbereiche sind dem Kommunikationscontroller hz>v der 
Busankoppeieinheit oder einer speziell darin vorgeselienen zusatzlichen Einrichtung 
zugeordnet und kSnnen von dieser ausgcwcrtct werden. 

Diese Ergebnisdaten enthalten zum Einen Fehlerinformationen, also die Einschatzun. des 
jewedigen Teilsystems, ob das ubenvachte teilsystem eine Fehlfunktion aufvveist oder 
nicht. Zum Anderen kann diese Fehlerinformation in Form eincr Kennung dcrnrt 
ausgeweitet werden, dass konkret magegeben werden kam., bei welchen Prozessdaten und 
danut bei welcher Funktionalitat ein Fehler erkannt wurde. Neben dieser 
Fehlerlnfonnation. die also zum Einen cine Ja-Nein-Entscheidung des Fehlers eriaubt 
Oder m einer ausgeweiteten Form den Fehler genau bezeichnen kann (bzw. den 
zugnindeliegenden Prozess oder die FunktionalitMt), kami weiterhin in den Ergebnisdaten 
eme Mafinahmeninfonnation vorgesehen sein. Dies bedeutel; dass abhMngig von 
beispielsweise der Fehlerart oder der Prozessdatenart. bei der der Fehler aufgef^ten ist 
Oder der Prozessart bzw. Funktionalitat, bei der der Fehler zu Tage trat, 
FehlermaBnahmen differenziert eingeleitet werden kSnnen. Solche MaBnahmen komien 
das Abschalten eines Teilsystems, den t)bergang eines Teilsystems in den Notlauf oder 
auch das normale Weiterarbeiten bei geringer Fehlerprioritat sein. Bei Obergang in einen 
Notlauf kami dabei ein vorgegebenes Programm abgearbeitet. feste Werte angenommen 
Oder eme emgeschrSnkte Funktionalitat vorgesehen werden. 

Somit kann in einem einfachen Fall ein Voting erfolgen, eben eine N- aus M-Auswahl 
Oder hier eine 2- aus 3- Auswahl mit fest vorgegebener Fehleireaktion oder auch in 
differenzierter Weise abhangig von der Art des Fehlers. wie beschrieben. eine spezielle 
MaBnahme eingeleitet werden. wobei eine Zuordnung von MaBnahme zu Fehlerart 
beispielsweise Uber eine fest vorgegebene Zuordnungstabelle oder andere 
Auswahlkriterien erfolgen kann. 
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Um beispielsweise bei einem fehlerhaften Prozessor bzw. einer so fehlerhaften 
Recl^eneinheit des Teilsystems 1 zu vermeiden. dass diese selbsttatig durch die eigene 
Fehlerhaftigkeit die Auswertung der Daten gefilhrdet. soil die Recheneinheit des 
Tclsystems 1. also des uberwachten Systems, keine MSglichkeit haben. auf die 
speziellen Datenbereiche bezUglich der Ergebnisdaten in den Speichereinheiten des 
Bussystems, die diesem Teilsystem 1 zugeordnet sind, zuzugreifen. 

Figur 2 zeigt nun detailliert einen solchen Teilnehmer. der an die 
Kommunikationsverbindung 201 angekoppelt ist. Die Ankopplung an diese 
Kommunikationsverbindung 20 1 erfolgt uber eine Busankoppeleinlaeit 202, welclie aus 
exnem Transceiver 203. einem Kommunikationscontroller 204 und der Speichereinheit 
emem Uber^vachungsregister oder Monitoringregister 205 besteht. Mit dieser 
Busankoppeleinheit ist das Teilsystem Ober cine Rcchncrcinhcit 206 vcrbundcn, wcI^hc 
die Steuereinheit bzw. RecWeinheit, den mC des Teilsystems dai-stellt Diese 
Teileznheit enthait von Sensoren 211 nber eine Sensorsignalanpassungseinheit 212 
geheferte Eingangsdaten. v^obei solche Sensordaten ebenfalls uber die 
Kommunikationsverbindung und die Busankoppeleinheit zur Recheneinheit lieferbar 
smd. Dies gilt beispielsweise flir intelUgente Sensorik, die ihrei^eits mit der 
Kommunikationsverbindung in Verbindung steht 

Ausgehend von diesen Eingangsdaten warden Ausgangssignale durch die Rechnereinheit 
206 genenert und zum Einen aine Leistungseinheit 209 angesteuert, walcha ihrarseits 
wiedarum Aktuatoren 2 1 0 bedient Ebenso sind waiter. SignalausgSnga aber aina 
Signalanpassungseinheit208 optional mSglich. 



Das Uber^achungsregister bzw. die Busankoppeleinheit 202 steht dirakt mit ainar 
Fehleremheit 207 in Verbindung. Daduroh kann die Busankoppeleinheit. insbasondera 
der Kommunikationscontroller 204 ausgehend von den Daten in dan Datanbar^ichen das 
t^er^achungsregisters 205 Signale ausgeben, beispielsweise an eine Rficksatzeinheit 
Oder Resat-Unit, einen Spannungsreglar. also voltage regulator, einen OsziUator und/oder 
emen watchdog. u"wuucr 

n "°°T" 200 -ach Figu, 2, be«eh.„d .b.„ au. den, e„.sprechende„ Toil^^ 
^ d„ B^«..*„ppete^^ „ Obenvachungslnformatoen. al«, zum 

Eu,M die ProzKsdaten des aberwdit™ Teitaehmers und zum Ande,^ die 
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E^b„,sd,„d»r™de™,TeiIneta,r..ofe™...e,bs.a6erwach,„,V<,.direk.vo. 

Ko..™„„toh„„soo„M.er2(Mtadl,tWachu„gsr.gi.^^^^ 

Spe,ch..,„he« 205. I„ diesen 0a.e„U.iche„ ka„„ „„„ e,-„. Oewich,„„g. ebc„ 

b«sp,.,sw.,se du«h Voting erfolge:, wdeh. MaB„ah™e„ .i„ge,ei,e. werdan ^Ue„. 

Sind sich die Teil^en. 2 bis 4 respekSve die Teilneh„,er ,02 bi, 104 einig. das 
T.,.ys,e. , se,„e P„„k.io„ fehierhaft er«n, b.v. e,gib,sich eine solch, Ei„.cb.,z„„. 
Z.B. aus e,„e„, e„.spreehe„d.n Voting, ebon z. B. einer2- aus 3.Auswah>, so ,ca„„ ° 
b=,sp,e swcse Tei,s,.s,e,n , ,.se,.e„. n,so z„rt,*sc^«. g,„, ab„„„„,^, ^„ 
be,sp,elswei» uur die Leisu,„gsei,d>eit 209 deakli.ier, ,.„de„. Ei,« solche 
Felilerreaktion, wie .„oh „ho„ vorher beschrieben, ka„„ aud, durch die 
BusanKoppeleinhei, u„,e, U„geh„„g a„ Rechnereinhei. 206 optional d„,.h di»,„e 
Ans,c„cr„„g den Lcisn,„g.einlKit 209 bnv. dor Sis„.h„p.=sunss.i„>,cU 20S, ,vic dure,, 
die gesmelieilen P&ile dargestel,,. reaiisier, werden. 

Is. bei ^ehreren Teibyste„,e„ oder Teitaehmen, nur ei„ Teiinehmer der Meinung dass 

^Te s^ , «n»F,h,er.uf»eis,sois.de„kba.,dasss.„deo,„be™aoh.et 
T.,bys«m „, d,esem Teibys«„, das d«, FdUer de«Me« ha.. ei„ Feh,er voriieg, Da 

2^ F,gor . besehrieb«..JedesTei.sys.e«ab.,K^n.i.diese. Verfab„„ g^^ 

w«de^ <Unn d.e F™zessda.en dieses Tei,sys«„,s a„sgewe«e, ™d das Tei,sys.em das 

au,Feh,er ericnn. ha, ^ seine^,^ „ben,m<t Einen, fciUerbaLo 
Abscha,.e„ „i„, somi. vorgebeug.. Ebe,«o ™rt unzureichenden oderftbch«, 
feliierrcaknonen und MaOnalinien yoigebeugt 

Hsur 3 zeig, nochmais eine Busaokoppoleinhei. 300 mi, ein«„ Tninsceiver 30,. einem 
K^mmundcationscontroller 302 sowie der Speiehereinheit also dem 
OWachuagsregister 303. Dieses Ob.r™cbungsregis.er is. hier beispielbaft in vier 
a«e„b«,.che Tl, T2, T3 und T4 e„.sp.eebend der Anzah, der nbe,vlb.«, oder z„ 
Ub^enden Teilneinner einge.eUt Diese Da.enbereiohe T. bis T4 ktaen dann 
. ^^^-t^ g«.n. »in. so dass ^„ Einen die Prozessdaten des e„.sprechenden 

=.8«.nl„..we«l«,k8m™,.Di«»Dattnb«eiohek6n„e„ ide„,isch injeder 
Busankoppeleinieft vorgesehen sein. „„bei «„sp,echend der Anzah. der ub«„acl«en 



- 9 - 

R. 306122 



und Qberwachenden Teilnehmer auch beliebige andere Kombinationen denkbar und 
erfindungsgemaB m6glich sind. 

Bei tJberwachung des Teilneluners Tl werden somit die Prozessdaten dieses Teilnehmers 
m Tl eingeschrieben. Die Oberwachenden Teilnehmer werten nun diese Prozessdaten aus 
und erstellen aus dieser Auswertung Ergebnisdaten. FQr das Einschrelben der 
Ergebnisdaten gibt es nun verschiedene MSglichkeiten. Zum Einen kSnnen alle 
Ergebnisdaten der einzelnen Tellnelimer In den Datenbereich des Qberwachten 
Teilnehmers eingeschrieben werden, wobci z. B. durch cine Kennung cine Znordntmg der 
Daten zum jevvei ligen uberwaciienden Teiiiieluner moglich ist. Der 
Kommunikationscontroller nimmt nun eine Bewertung dieser Ergebnisdaten durch 
Vergleich oder Voting vor und leitet eine entsprechende Fehlerreaktion ein. 

Zum Anderen k6nnen die entspreclienden Daten dem jevveiligen teihiehmcrzugcordctcn 
Datenbereich eingeschrieben werden, so dass die jeweiligen Prozessdaten des 
entsprechenden Teilnehmers eingeschrieben werden und diesen Prozessdaten in PEl von 
Tl spezielle Bereiche PE2 bis PE4 zugeordnet sind, in welche die jeweiligen 
Ergebnisdaten eben des Teitoehmers 2, 3 oder 4 eingeschrieben werden. so dass du„:h 
den KommunikationscontroUer 302 Uber diese optionale Zeile 304 ein Vergleich und ein 
Votmg sowie die entsprechenden MaBnahmen durchgefilhrt werden kSnnen. Im ersten 
Fall entspricht die Anzahl der Datenbereiche der Anzahl der Oberwachten Teitaehmer so 
dass jedem Uberwachten Teifaehmer ein Datenbereich emdeutig zugeordnet ist Im 
zweiten Fall entspricht die Anzahl der Datenbereiche der Summe der Anzahl der 
iiberwachenden und der uberwachten Teilnehmer. wobei, wie schon beschrieben. dabei 
auch erne Schnittmenge bis voIlstSndigen Obereinstimmung der Anzahl von Oberwachten 
und iiberwachenden Teitaehmem mSglich ist. sodaiJ im Extremfall jeder Teitoehmer von 
alien anderen uberwacht wird.. - 

In Figur 4 nun ist ein redundantes System mit Kommunikationsverbindungen 401 und 
402 als Teitaehmer 400 dargesteUt. Dabei sind nun zwei Busankoppeleinheiten 403 und 
404 vorgesehen. von denen jede mit einer Kommunikationsverbindung gekoppelt ist. 
Auch hier enthalten die Busankoppelemheiten einen Transceiver 405 bzw. 408 einen 
Kommunikationscontroller 406 respektive 409 sowie ein tJberwachungsregister die 
Speichereinheit 407 bzw. 410. Auch hierbei ist wenigstens eine Fehlereinheit 41 1 
vorgesehen. die durch die Speicheremheit bzw. die Busankoppeleinheit 404 bedient wird. 
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Dabei kann die selbe Fehlereinheit 41 1 durch die andere Busankoppeleinheit 403 
gleichfells bedient werden, oder aber es ist eine zweite Fehlereinheit aus 
RedundanzgrOnden, also je Busankoppeleinheit eine Fehlereinheit vorgesehen. Beide 
Busankoppeleinheiten stehen auch hier mit der Rechnereinheit410 des Teilsystems in 
Verbindung, welche wlederum von Sensoren 415 Uber eine 

SensorsignaIanpassungseinheit416 Eingangssignale erhSlt. Gleichermafien bildet hier die 
Rechnereinheit 41 0 Ausgangssignale zu einer Leistungseinheit 413 oder einer 
SIgnalanpassungseinheit 412. Die Leistungseinheit 413 steuert auch hier Aktuatoren 414 



an. 



Durch Verwendung eines solchen redundanten Systems ist eine Skalierbarkeit bezuglich 
der Fehlersicherheit durch Anordnung der Datenbereiche in den Speichereinheiten 4^07 
bzw. 410 mSglich. So kennen die Datenbereiche bcispielsweisc iibcr die zwci 
Speicliereinheiten verteilt sein oder auch nur Icilweise verteilt und teilvveisc 
gleichermaBen vorgesehen sein. So ist es moglich, manche Datenbereiche in beiden 
Speichereinheiten 407 und 410 vorzusehen und andere Datenbereiche jeweils nur in einer 
Speichereinheit. Dadurch ergibtsich eine skalierbare Redundanz, mit welcher sehr 
flexibel auf sicherheitsrelevante Anforderungen des Systems reagiert werden kann So 
kann wenigstens ein Teil der Datenbereiche zum Einen in jeder Busankoppeleinheit des 
verteaten Systems, aber auch in jeder Busankoppeleinheit dieses redundanten verteilten 
Systems vorgesehen sein. Dies hSngt auch insbesondere von der Anzahl der Oberwachten 
und/oder der Uberwachenden Teilnehmer ab. 

Damit ist eine sehr flexible und demioch einfache Fonn der Fehlerilberwachung in einem 
verteilten System gegeben. 
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Anspruche 

1 . Verfahren zur Oberwachung eines verteilten Systems, welches aus mehreren 

Teilnehmem besteht, die mittels eines Bu.«!systems verbiinden sind, dndurch gekcnn^eiclmet, 
dass wenigstens cine Anzahl der Teilnehmcr als iibcnvnchendc Teilnehmcr vorgcschcn sind 
imd Prozessdaten wenigstens eines Oberwachten Teilnehmers in Datenbereichen von 
Speichereinheiten des Bussystems abgelegt werden auf welche die Uberwachenden 
Teilnehmer Zugriffhaben und die Prozessdaten durch die uberwachenden Teilnehmer 
ausgewertet werden. 

2. Verfahren nach Ansprach 1, dadurch gekennzeichnet, dass jeder der Datenbereiche 
eindeutig einem Oberwachten Teilnehmer zugeordnet ist 

3. Verfehren nach Anspruch 2, dadurch gekennzeichnet, dass der iiberwachte 
Teihehmer auf den ihm zugeordneten Datenbereich keinen Zugriflf hat. 

4. Verfehren nach Anspruch I, dadurch gekennzeichnet, dass die Datenbereiche Qber 
wenigstens zwei Speichereinheiten verteilt sind. 

5. Verfehren nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens ein Teil der 
Datenbereiche gleichzeitig in jeder Speichereinheit voigesehen ist. 

6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass jeder Oberwachende 
Teihiehmer, aufier der Oberwachte Teihiehmer selbst. abhSngig von der Auswertung der 
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Prozessdaten des iiberwachten Teilnehmers Ergebnisdaten erxeugt 

7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten eine 

Fehlerinformation enthalten. 



8. 

MaBnahmen information enthalten 



Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten eine 



9. Verfahren nach Anspruch 6. dadurch gekennzeichnet, dass die Ergebnisdaten liber 
das Bussystem zu einem KommunikationskontroIIer des Bussystems bei dem uberwachten 
Teilnehmers Qbertragen werden, 

10. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten in den 
Datenbereichen abgelegt werden. 

1 1. Verfahren nach Anspruch 2 und 6. dadureh gekennzeichnet, dass die Ergebnisdaten 
jeweils jedem iiberwachten Teilnehmer zugeordnet und in den diesen zugeordneten 
Datenbereichen abgelegt werden. 



12. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zur Oberwachung eine 
gewichtete Fehlerauswahl als n aus m Entscheidung durchgeftlhrt wird. wobei m die Anzahl 
der uberwachenden Teihiehmer ist, abzUglich des Uberwachten selbst und m > 2 mit n > m/2. 

13. Vorrichtung zur Oberwachung eines verteilten Systems, welches aus mehieren 
Teihiehmem besteht, die mittels eines Bussystems verbunden sind, dadurch gekemizeichnet, 
dass wenigstens eine Anzahl der Teilnehmer als aberwachende Teilnehmer vorgesehen sind 
und erste Mittel vorgesehen sind, welche die Prozessdaten wenigstens eines Uberwachten 
Teitaehmers in Datenbereichen von Speichereinheiten des Bussystems abiegen auf welche 
zweite Mittel der Uberwachenden Teilnehmer Zugriff haben und diese zweiten Mittel die 
Prozessdaten auswerten. 
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14. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, dass jede der 
Speichereinheiten einem ttberwachenden Teilnehmer zugeordnet ist 

15. Bussystem zur Oberwachung eines verteilten Systems, welches aus mehreren 
Teilnehmern besteht, die mittels des Bussystems verbunden sind, dadureh gekennzeichnet, 
dass wenigstens eine Anzahl der Teilnehmer als uberwachende Teilnehmer vorgesehen sind 
und erste Mittel vorgesehen sin^.welche die Prozessdaten wenigstens eines Oberwachten 
Teilnehmers in Datenbereichen von Speichereinheiten des Bussystems ablegen auf welche 
zwe.te Mittel der Qber^vachende^ Teilnehmer ZngrifFhabcn und diese zweiten Mi(tel die 
Prozessdaten auswerten. 



16. Verteiltes System, welches aus mehreren Teilnehmern besteht, die mittels eines 
Bussystems verbunden sind, dadurch gekennzeichnet. dass wenigstens eine Anzahl der 
Teilnehmer als uberwachende Teilnehmer vorgesehen sind und erste Mittel vorgesehen sind 
welche die Prozessdaten wenigstens ernes Oberwachten Teilnehmers in Datenbereichen von ' 
Speichereinlieiten des Bussystems ablegen auf welche zweite Mittel der uberwachenden 
Teibiehmer Zugriff haben und diese zweiten Mittel die Prozessdaten auswerten. 
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Verfahren und VorrichtiinP zur Uberwar.hn ng eines verif^ilten Systems 
Zusammenfassung 

Verfaliren, Vorrichtung und Bussystem zur Oberwachung des verteilten Systems, welches aus 
mehreren Teilnehmera besteht, die mittels eines Bussystems verbunden sind, wobei 
wenigstens cine Anzahl der Teilnehmer als Oberwachende Teilnehmer vorgesehen sind und 
Prozessdaten wenigstens eines iiberwachten Teihiehmers in Datenbereichen von 
Speichereinheiten des Bussystems abgelegt werden auf welche die ttberwachenden 
Teihiehmer Zugriff haben und die Prozessdaten durch die Oberwachenden Teihiehmer 
ausgewertet werden. 



(Figur2) 



